Los ataques de piratas informáticos vinculados a Irán contra infraestructuras críticas amenazan a más de 5.000 dispositivos de control industrial en todo el mundo, incluidos aproximadamente 3.900 en Estados Unidos, según muestran nuevos datos.
Las agencias del gobierno estadounidense advirtieron recientemente que los piratas informáticos que trabajan en nombre del régimen iraní estaban tratando de comprometer a los operadores de infraestructura irrumpiendo en sus controladores lógicos programables (PLC) Allen-Bradley fabricados por Rockwell Automation, y Estados Unidos tiene la mayor cantidad de dispositivos de este tipo que cualquier país, según un nuevo informe de la empresa de monitoreo de Internet Censys.
«La distribución geográfica está fuertemente sesgada hacia Estados Unidos, que representa el 74,6% de la exposición global», escribieron los investigadores de Censys, «en consonancia con la posición dominante de Rockwell en el mercado de la automatización industrial de América del Norte».
Los PLC son computadoras industriales que controlan equipos de fábrica, tecnología de distribución de energía y otra maquinaria de infraestructura. Los grupos afiliados a Irán utilizaron previamente las debilidades de estos PLC para violar a los operadores de infraestructura en 2023y recientemente reanudaron esa actividad en respuesta a la guerra de Estados Unidos e Israel.
La gran mayoría de los PLC conectados a Internet que encontró Censys estaban conectados en red a través de módems celulares, lo que sugiere su implementación en áreas remotas como parte de redes de infraestructura geográficamente dispersas (y ahora tecnológicamente vulnerables).
«Es casi seguro que estos dispositivos se implementen sobre el terreno en infraestructura física (estaciones de bombeo, subestaciones, instalaciones municipales) con módems celulares como única ruta de Internet», dijo Censys.
Algunos dispositivos están conectados a través de terminales satelitales Starlink, lo que, según Censys, los hacía aún más “difíciles de monitorear y parchear”.
Los PLC expuestos de muchas maneras
Si bien Censys inicialmente buscó PLC que respondieran a través de un protocolo de red de equipos industriales común, la compañía dijo que muchos de los dispositivos que detectó también eran accesibles a través de otros servicios más comunes, como HTTP, VNC y FTP.
«Estos servicios amplían la superficie de ataque disponible», advirtió Censys, «y en varios casos representan caminos directos hacia el impacto operativo independientemente de la explotación del PLC».
El acceso a VNC entre los PLC y sus computadoras de control es particularmente alarmante, dijo Censys, porque el aviso del gobierno estadounidense sobre la actividad de piratería vinculada a Irán mencionó exactamente esa vía para manipular los sistemas de control industrial.
Se puede acceder a casi 300 dispositivos a través del protocolo Telnet no cifrado, que según Censys “no tiene cabida en los dispositivos conectados a Internet”. [operational technology] infraestructura.»
Asesoramiento a operadores de infraestructuras
Censys instó a cualquier empresa o servicio público que utilice PLC de Allen-Bradley a: desconectar inmediatamente esos PLC de la Internet pública enrutando el tráfico a través de puertas de enlace seguras; registrar el tráfico entrante desde puertos y direcciones IP asociados con los piratas informáticos vinculados a Irán; e implementar autenticación multifactor para el acceso remoto a dispositivos OT.
Además, dijo la compañía, los operadores deberían deshabilitar o aplicar firewalls a los servicios VNC, Telnet y FTP y reemplazar los PLC con soporte de actualización limitado.
Fuente